2LRN4 security awareness platform
← Zurück zur Übersicht

Safe Links in Exchange (Safe URLs): warum URL-Umschreibung Scheinsicherheit ist

Safe Links (Safe URLs) in Exchange schreibt Links für das Time-of-Click-Scanning um, verbirgt dabei aber das echte Ziel und erzeugt Scheinsicherheit. Lesen Sie die Dilemmata und was Sie als Administrator stattdessen tun sollten.

Microsoft Defender for Office 365 bietet Safe Links, in der Praxis oft "Safe URLs" genannt. Die Funktion schreibt jeden Link in eingehenden E-Mails auf eine Microsoft-Adresse um, damit das Ziel im Moment des Klicks noch einmal geprüft wird. Das klingt sinnvoll: eine zusätzliche Kontrolle kurz bevor man irgendwo landet. Doch das Umschreiben nimmt genau das weg, was man zum eigenen Urteil braucht — das sichtbare Ziel. Man fühlt sich sicherer, sieht aber weniger. Und der Kern der Lösung ist nicht, dass Microsoft die Funktion abschaffen müsste. Es ist, dass Administratoren aufhören sollten, die URL-Umschreibung reflexartig zu aktivieren und sie erst einsetzen, wenn sie die Nachteile bewusst abgewogen haben.

Angenommen, Sie erhalten eine E-Mail mit einem Link zu https://zahlungsportal.de/anmelden. Mit aktiviertem Safe Links schreibt Microsoft diesen Link in etwas wie https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fzahlungsportal.de%2Fanmelden&data=05%7C01%7C... um. Das ursprüngliche Ziel steckt nun als Parameter in einer langen, unleserlichen Microsoft-URL.

Beim Klick leitet Microsoft Sie zunächst über den eigenen Prüfserver. Dieser gleicht die Zieladresse mit aktuellen Bedrohungsdaten ab (Time-of-Click-Scanning). Ist die Adresse in diesem Moment als bösartig bekannt, erhalten Sie eine Warnseite statt der Website. Ist sie (noch) nicht bekannt, werden Sie weitergeleitet. Die Prüfung erfolgt also beim Klick, nicht beim Lesen der E-Mail.

Warum es auf dem Papier eine gute Idee scheint

Safe Links ist nicht ohne Wert, und das gehört ehrlich gesagt. Die Funktion bietet einige echte Vorteile:

  • Time-of-Click-Schutz: ein Link, der bei der Zustellung noch sauber war, aber später bösartig wird, kann im Moment des Klicks trotzdem blockiert werden.
  • Zentrale Sperrung: sobald Microsoft eine Domain als bösartig markiert, sind alle Ihre Nutzer auf einen Schlag geschützt, ohne dass Sie etwas tun müssen.
  • Klick-Telemetrie: Ihr SOC oder Admin-Team sieht, wer auf welchen Link geklickt hat. Das ist Gold wert bei der Untersuchung eines Vorfalls.
  • Niedrige Hürde: die Funktion ist in wenigen Minuten aktiviert und kostet keine zusätzliche Lizenz, wenn Sie Defender for Office 365 bereits haben.

Das Kernproblem: Sie können das echte Ziel nicht mehr lesen

Eine URL ist keine undurchdringliche technische Zeichenkette. Sie ist Information. Die Domain sagt Ihnen, wen Sie erreichen. Der Pfad deutet an, was Sie tun werden. Die Parameter geben Kontext. Ein geübtes Auge erkennt sofort, dass microsoft-login.secure-verify.ru nicht Microsoft ist, sondern eine russische Domain, die sich als Microsoft ausgibt.

Sobald Safe Links den Link auf eine safelinks.protection.outlook.com-Adresse umschreibt, ist diese Information weg. Sie sehen nur noch eine Microsoft-URL mit einem Wirrwarr an Parametern. Sie können nicht mehr mit der Maus über den Link fahren und selbst beurteilen, wohin er führt. Alles, was Sie sehen, ist, dass es "etwas von Microsoft" ist — und das fühlt sich genau so sicher an, wie der Angreifer hofft.

Warum das Scheinsicherheit ist

Scheinsicherheit entsteht, wenn eine Maßnahme das Gefühl von Sicherheit stärker erhöht als die tatsächliche Sicherheit. Safe Links ist ein Musterbeispiel. Mitarbeitende lernen unbewusst: "Wenn der Link über Microsoft läuft, ist er geprüft und also sicher." So sinkt die Wachsamkeit genau in dem Moment, in dem sie am dringendsten gebraucht wird.

Und das Time-of-Click-Scanning ist alles andere als wasserdicht. Angreifer wissen genau, wie es funktioniert, und umgehen es routinemäßig:

  • Cloaking: die Phishing-Seite zeigt dem Scanner von Microsoft harmlosen Inhalt und dem Nutzer die echte, bösartige Seite. Der Scan besteht, Sie werden trotzdem getäuscht.
  • Zero-Hour-Seiten: eine brandneue Phishing-Domain steht auf keiner Blockliste. Beim Klick kennt Microsoft sie schlicht nicht und leitet Sie weiter.
  • Open Redirects auf vertrauenswürdigen Domains: Angreifer missbrauchen eine legitime Domain, die weiterleitet (etwa einen Werbe- oder Tracking-Dienst), sodass die erste Prüfung sauber wirkt.
  • Links außerhalb der Reichweite: URLs in Anhängen, QR-Codes oder Bildern werden nicht umgeschrieben. Genau dorthin verlagern Angreifer ihre Links.

Die Dilemmata, vor denen Sie als Administrator stehen

Das ist keine Frage von "einfach an" oder "einfach aus". Als Administrator stecken Sie zwischen realen, widersprüchlichen Interessen. Diese Dilemmata werden selten laut benannt:

  • Time-of-Click-Gewinn versus Lesbarkeit. Schalten Sie das Umschreiben ein, gewinnen Sie Schutz gegen später-bösartige Links, verlieren aber die Fähigkeit der Menschen, das Ziel selbst zu lesen. Beides lässt sich nicht maximieren.
  • Zusätzliche Schicht versus Gewöhnung. Eine zusätzliche Verteidigungsschicht klingt immer gut, aber jede Schicht, die Menschen beruhigt, senkt ihre eigene Aufmerksamkeit. Defense-in-Depth kann menschliche Wachsamkeit gerade untergraben.
  • Telemetrie versus Blindheit. Die Klick-Telemetrie ist wertvoll für Ihr SOC, aber Sie erkaufen diese Daten mit der Blindheit Ihrer Nutzer. Ist das ein fairer Tausch?
  • Wahrnehmung versus Realität. Das Umschreiben abzuschalten fühlt sich für Management und Auditoren "weniger sicher" an, auch wenn es Ihre Leute mit der Zeit widerstandsfähiger macht. Sie müssen eine weniger-sicher-wirkende Entscheidung erklären können.
  • Bequemlichkeit versus Abhängigkeit. Je mehr Sie sich auf die automatische Prüfung verlassen, desto abhängiger werden Sie von einem einzigen Anbieter, der Ihren Leuten das Denken abnimmt.

Nicht Microsoft — Sie als Administrator haben es in der Hand

Es ist verlockend zu sagen "Microsoft soll die Funktion einfach besser machen". Aber die Funktion liegt nicht auf Microsofts Tisch — sie liegt auf Ihrem. Sie entscheiden in der Safe-Links-Richtlinie, ob Links umgeschrieben werden, ob die ursprüngliche URL sichtbar bleibt und welche Ausnahmen gelten. Die Macht und die Verantwortung liegen beim Administrator.

Die Botschaft lautet also nicht "alles abschalten", sondern: hören Sie auf, das Umschreiben reflexartig zu aktivieren. Behandeln Sie es nicht als kostenlose Extra-Sicherheit, sondern als Eingriff mit einem Preis. Wägen Sie den Scan-Wert (Time-of-Click, Telemetrie, zentrale Sperrung) bewusst gegen den Preis ab, den Sie zahlen: Menschen, die nicht mehr lernen hinzusehen. In vielen Organisationen ist dieser Preis höher als der Gewinn, vor allem wenn Sie gleichzeitig in die Widerstandsfähigkeit der Menschen investieren.

Was Sie besser tun sollten

Ein reifer Ansatz verbindet Technik und Verhalten, statt das Zweite für das Erste zu opfern:

  • Behalten Sie das Scanning, überdenken Sie das Umschreiben. Nutzen Sie den Erkennungs- und Sperrwert von Defender, prüfen Sie aber kritisch, ob das Verbergen der URL diesen Wert wert ist.
  • Investieren Sie in URL-Kompetenz. Bringen Sie Menschen bei, Domains zu lesen: wo die echte Domain endet, was ein Subdomain ist, wie eine abweichende Endung aussieht. Das ist eine Fähigkeit, kein Faktenwissen.
  • Messen Sie Verhalten mit Phishing-Simulationen. Nicht um Menschen zu ertappen, sondern um zu sehen, ob Erkennen und Melden besser werden. Steuern Sie über die Melderate, nicht nur über die Klickrate.
  • Machen Sie das Melden einfach und sicher. Ein Knopf, um verdächtige Mail zu melden, ohne dass sich jemand dumm fühlt. Schnelle Meldungen sind Ihre beste Frühwarnung.
  • Kombinieren Sie mit phishingresistenter Authentifizierung. Mit FIDO2 oder Passkeys ist ein gestohlenes Passwort viel weniger wert, auch wenn jemand doch einmal klickt.

So schulen Sie Mitarbeitende in echter URL-Analyse

Seien Sie ehrlich: URL-Analyse ist nicht einfach. Wer ruft "die Leute sollen den Link doch einfach prüfen, ist doch simpel", versteht es nicht gut genug. Domains können irreführend sein, Subdomains verwirrend, und Angreifer spielen bewusst mit Ihrer Erwartung. Schulen Sie es also als Fähigkeit, mit Wiederholung und echten Beispielen.

Ein wichtiges Detail: Solange Safe Links die URLs umschreibt, können Sie diese Schulung gar nicht ordentlich durchführen — es bleibt nichts mehr zum Lesen übrig. Wollen Sie Menschen das Hinsehen beibringen, muss die echte URL sichtbar sein. Fangen Sie klein an: zeigen Sie in kurzen, wiederkehrenden Übungen jeweils eine Handvoll URLs und lassen Sie die echte Domain benennen. Steigern Sie dann zu schwierigeren Fällen: Homoglyphen, lange Subdomain-Ketten und Links, die auf den ersten Blick stimmen, aber knapp daneben liegen.

Wie Angreifer eine URL tarnen — Beispiele zum Üben

Nutzen Sie solche Beispiele in Ihrer Schulung. Lassen Sie die Leute selbst benennen, was nicht stimmt:

  • Homoglyphen: goog1e.com (eine Ziffer 1 statt des Buchstabens l) oder g00gle.com (zwei Nullen). Optisch fast identisch, technisch eine andere Domain.
  • Irreführendes Subdomain: microsoft.login.secure-verify.ru. Die echte Domain ist secure-verify.ru; "microsoft" und "login" sind nur Subdomains, die Vertrauen wecken.
  • Falsche Endung: paypal-secure.com statt des echten paypal.com. Bekannter Markenname, nur die falsche Domain.
  • Open Redirect: ein Link zu einer vertrauenswürdigen Domain, die über einen Parameter zu einer bösartigen Seite weiterleitet, etwa ...?redirect=https://phish.example.

FAQ

Nein. Das Time-of-Click-Scanning, die zentrale Sperrung bekannter bösartiger Domains und vor allem die Klick-Telemetrie für Ihr SOC haben echten Wert. Das Problem ist nicht die Erkennung im Hintergrund, sondern das Umschreiben des sichtbaren Links plus das falsche Sicherheitsgefühl, das dadurch entsteht. Sie schütten nicht das Kind mit dem Bade aus; Sie überdenken nur das Umschreiben.

Soll ich Safe URLs dann sofort abschalten?

Nicht blind. Aber schalten Sie es auch nicht blind ein. Behandeln Sie es als bewusste Abwägung: wägen Sie den Scan- und Telemetrie-Gewinn gegen den Preis ab, dass Ihre Leute das Ziel nicht mehr lesen können und nachlässig werden. Wenn Sie sich für das Umschreiben entscheiden, tun Sie es mit offenen Augen und gleichen Sie es mit URL-Analyse-Schulung aus. In vielen Organisationen ist die Lesbarkeit und Widerstandsfähigkeit der Menschen mit der Zeit mehr wert als die zusätzliche automatische Schicht.

Lesen Sie zum Ende der Domain hin: die echte Domain steht direkt vor dem ersten einzelnen Schrägstrich (die Endung wie .de oder .com und das Wort davor). Alles davor sind Subdomains, die ein Angreifer frei ausfüllen kann. Achten Sie auf Homoglyphen (Ziffer 1 statt Buchstabe l, Null statt o), Markennamen auf der falschen Domain und Redirect-Parameter. Im Zweifel? Nicht klicken, sondern selbst zur bekannten Website gehen oder den Absender unter einer Nummer anrufen, die Sie bereits haben.

Reagieren Sie schnell und ohne Schuldzuweisung. Lassen Sie den Mitarbeiter sofort der IT melden, trennen Sie das Gerät bei Malware-Verdacht vom Netzwerk und setzen Sie die Passwörter und aktiven Sitzungen der betroffenen Konten sofort zurück. Prüfen Sie, ob MFA noch intakt ist, und sehen Sie in den Logs nach, wer dieselbe E-Mail noch erhalten hat. Eine schnelle, ruhige Meldung begrenzt den Schaden weit mehr als ein schuldbewusstes Schweigen.

Wo liegt die Grenze zwischen Vorsicht und Paranoia?

Vorsicht ist eine feste Gewohnheit bei riskanten Handlungen: Anmelden, Bezahlen oder alles mit sensiblen Daten. Dort verifizieren Sie immer. Paranoia ist, bei jeder E-Mail zu erstarren und sich nichts mehr zu trauen. Ziehen Sie die Grenze über den Prozess: bei ungewöhnlichen Finanz- oder Anmeldeanfragen verifizieren Sie über einen unabhängigen Kanal, bei normaler interner Mail vertrauen Sie Ihrem geschulten Gefühl. So bleiben Sie sowohl arbeitsfähig als auch widerstandsfähig.

Hilfe bei der Umsetzung?

Buchen Sie eine kurze Demo oder besprechen Sie Ihren Anwendungsfall. Wir antworten schnell.

Demo buchen Support ansehen